Um download falso do Slack está dando aos atacantes um desktop oculto na sua máquina

SOC Prime Team

Seguir

Um download falso do Slack está dando aos atacantes um desktop oculto na sua máquina

Detection stack

AIDR
Alert
ETL
Query

Relatório de Ameaça
Fluxo de Ataque
Detecções
Simulações

Resumo

Um instalador malicioso disfarçado como Slack está sendo distribuído através de domínios de typosquatting para enganar usuários desavisados. Uma vez executado, ele instala um aplicativo Slack legítimo juntamente com um carregador encoberto que se conecta a um servidor de comando e controle, recupera uma carga útil HVNC criptografada e a injeta no explorer.exe. O malware então cria uma sessão de desktop invisível que permite aos atacantes navegar, interagir e realizar ações na máquina comprometida sem que a vítima perceba. Esta abordagem é particularmente perigosa em ambientes onde a marca Slack é amplamente confiada tanto por indivíduos quanto por usuários corporativos.

Investigação

Pesquisadores desembrulharam o instalador e descobriram dois arquivos temporários: slack.tmp, que continha um pacote de atualização Squirrel legítimo, e svc.tmp, que servia como o carregador malicioso. A análise mostrou que o carregador estabeleceu persistência através de uma chave de registro Run, resolveu APIs do Windows dinamicamente durante a execução, baixou uma DLL criptografada, salvou-a como wmiprvse_*.tmp, e usou injeção baseada em seção para carregá-la em explorer.exe. Os investigadores também observaram comunicação de saída com um servidor de comando e controle através da porta TCP 8081. Havia também lógica anti-análise adicional, incluindo detecção de debugger e verificações de tempo de sandbox.

Mitigação

Os usuários devem baixar o Slack apenas do site oficial slack.com ou de links salvos confiáveis e verificar assinaturas digitais antes de executar qualquer instalador. As organizações devem habilitar proteção em tempo real capaz de bloquear domínios maliciosos conhecidos e executáveis suspeitos. Os defensores também devem monitorar tráfego de saída inesperado na porta 8081, entradas de registro Run não familiares e processos filhos anormais associados a aplicativos confiáveis. Deteções baseadas em comportamento podem ajudar a identificar sessões de desktop ocultas e atividades relacionadas à HVNC antes que os atacantes ganhem acesso interativo completo.

Resposta

Se essa atividade for detectada, isole imediatamente o ponto de extremidade afetado da rede, termine o carregador malicioso e quaisquer processos relacionados à HVNC, e remova o mecanismo de persistência da chave de registro Run. Deve-se realizar uma varredura completa de malware, e todos os domínios e endereços IP maliciosos relacionados devem ser bloqueados em todo o ambiente. Todas as credenciais usadas na máquina comprometida devem ser redefinidas a partir de um dispositivo limpo, e a equipe de segurança deve coletar artefatos forenses para apoiar investigações e escopos adicionais.

graph TB classDef technique fill:#ffcc99 classDef artifact fill:#c2f0c2 classDef process fill:#f9d5e5 classDef tool fill:#d9d9d9 classDef malware fill:#ffd699 site_typosquat[“Artefato – Site typosquatted URL: slacks.pro ou debtclean-ua.sbs”] class site_typosquat artifact download_exe[“Artefato – slacku20114u201149u201181.exe Executável malicioso entregue pelo site falso”] class download_exe artifact run_registry[“Artefato – Chave de execução no Registro HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\com.squirrel.slack.slack”] class run_registry artifact hvnc_dll[“Artefato – DLL HVNC criptografada em seção PE personalizada”] class hvnc_dll artifact c2_server[“Artefato – Servidor de comando e controle Porta 8081 via WinHTTP”] class c2_server artifact explorer_proc[“Processo – explorer.exe (shell do Windows)”] class explorer_proc process loader[“Malware – Componente carregador para descriptografia, C2 e injeção”] class loader malware mavinject[“Ferramenta – Mavinject (execução proxy de binários do sistema)”] class mavinject tool initial_access[“Técnica – T1204.001 Execução pelo usuário: link malicioso Descrição: A vítima clica em um link que leva a um site malicioso que baixa malware automaticamente”] class initial_access technique execution_file[“Técnica – T1204.002 Execução pelo usuário: arquivo malicioso Descrição: A vítima executa o arquivo baixado”] class execution_file technique persistence_active_setup[“Técnica – T1547.014 Execução automática: Active Setup Descrição: O instalador cria entrada Run no registro para persistência”] class persistence_active_setup technique obfuscation[“Técnica – T1027 Arquivos ou informações ofuscadas Descrição: O loader criptografa payload, usa padding e resolve APIs em runtime”] class obfuscation technique embedded_payload[“Subtécnica – T1027.009 Payload embutido”] class embedded_payload technique binary_padding[“Subtécnica – T1027.001 Preenchimento de binário”] class binary_padding technique compile_after_delivery[“Subtécnica – T1027.004 Compilar após entrega”] class compile_after_delivery technique stripped_payload[“Subtécnica – T1027.008 Payload limpo”] class stripped_payload technique c2_communication[“Técnica – T1071.001 Protocolos web (WinHTTP) Descrição: Comunicação com C2 via TCP 8081 usando WinHTTP”] class c2_communication technique reflective_loading[“Técnica – T1620 Carregamento reflexivo de código Descrição: DLL HVNC é carregada em memória e executada reflexivamente”] class reflective_loading technique process_injection[“Técnica – T1055.002 Injeção de executável portátil Descrição: Injeção baseada em seções no explorer.exe”] class process_injection technique system_binary_proxy[“Técnica – T1218.013 Execução proxy de binários do sistema: Mavinject Descrição: Uso de Mavinject para injetar DLL maliciosa”] class system_binary_proxy technique site_typosquat –>|hospeda página maliciosa| initial_access initial_access –>|dispara download de| download_exe download_exe –>|executado pela vítima| execution_file execution_file –>|estabelece persistência via| persistence_active_setup persistence_active_setup –>|cria| run_registry run_registry –>|carrega| loader loader –>|aplica| obfuscation obfuscation –>|usa| embedded_payload obfuscation –>|usa| binary_padding obfuscation –>|usa| compile_after_delivery obfuscation –>|usa| stripped_payload loader –>|conecta a| c2_server c2_server –>|habilita| c2_communication loader –>|descriptografa e carrega| hvnc_dll hvnc_dll –>|carregado via| reflective_loading reflective_loading –>|injeta em| explorer_proc explorer_proc –>|alvo de| process_injection process_injection –>|usa| mavinject mavinject –>|executa| system_binary_proxy

Fluxo de Ataque

Narrativa de Ataque e Comandos:
1. Acesso Inicial – O atacante entrega um instalador trojanizado chamado slack-4-49-81.exe via um e-mail de phishing.
2. Execução – A vítima executa o arquivo; ele extrai um carregador oculto svc.tmp to %TEMP%.
3. Criação de Desktop Oculto (T1564.003) – svc.tmp invoca CreateProcess com SW_HIDE, gerando uma sessão de desktop oculta que hospeda uma ferramenta de acesso remoto.
4. Persistência (T1547.013 & T1546.016) – O carregador registra um servidor COM que é iniciado automaticamente através de um atalho colocado na pasta de Inicialização, garantindo a execução no reinício.
5. Instalação Potencial de Rootkit (T1014) – Se elevado, svc.tmp solta um driver rootkit em %SystemRoot%System32driversmaldrv.sys.

Script de Teste de Regressão: O script reproduz os passos 2–4 com binários inofensivos (cópias de notepad.exe) enquanto preserva exatamente os nomes de arquivos que a regra monitora.

# -------------------------------------------------
# Teste de Regressão – Simulação de Instalador Falso do Slack
# -------------------------------------------------
# 1. Prepare os binários falsos (use notepad.exe benigno)
$temp = $env:TEMP
$installer = Join-Path $temp "slack-4-49-81.exe"
$loader    = Join-Path $temp "svc.tmp"

Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $installer -Force
Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $loader -Force

# 2. Execute o instalador – isso disparará a regra de detecção
Write-Host "[*] Iniciando instalador falso ..."
Start-Process -FilePath $installer -WindowStyle Hidden -PassThru | Out-Null

# 3. Simule a criação de desktop oculto (carregador)
Write-Host "[*] Iniciando carregador oculto ..."
Start-Process -FilePath $loader -WindowStyle Hidden -PassThru | Out-Null

# 4. Crie um atalho na pasta de Inicialização para emular persistência
$startup = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartup"
$shortcutPath = Join-Path $startup "Slack Hidden.lnk"

$shell = New-Object -ComObject WScript.Shell
$shortcut = $shell.CreateShortcut($shortcutPath)
$shortcut.TargetPath = $loader
$shortcut.WindowStyle = 7   # Oculto
$shortcut.Save()

Write-Host "[+] Simulação concluída. Verifique o SIEM por eventos com Image terminando em 'slack-4-49-81.exe' ou 'svc.tmp'."

Comandos de Limpeza: Remova os artefatos de teste e quaisquer atalhos criados.

# Script de Limpeza – execute com o mesmo contexto de usuário
$temp = $env:TEMP
Remove-Item -Path (Join-Path $temp "slack-4-49-81.exe") -ErrorAction SilentlyContinue
Remove-Item -Path (Join-Path $temp "svc.tmp") -ErrorAction SilentlyContinue

$shortcutPath = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupSlack Hidden.lnk"
Remove-Item -Path $shortcutPath -ErrorAction SilentlyContinue

Write-Host "[+] Limpeza concluída."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente